Instagram网站泄露了几个月的电话号码和电子邮件

研究人员说，Instagram的网站在至少四个月的时间内泄露了用户联系信息，包括电话号码和电子邮件地址。数据科学家兼商业顾问DavidStier表示，一些Instagram用户档案的源代码包括帐户持有人在网页浏览器中加载的联系信息，他在今年早些时候发现问题后不久通知了Instagram。联系信息未显示在Instagram网站桌面版本的帐户持有人的个人资料中，尽管照片共享网站的应用程序使用该信息进行通信。目前尚不清楚为何该信息被包含在网站的源代码中。

斯泰尔说，这种曝光似乎包括数千个账户的联系信息，这些账户属于私人-其中一些是未成年人-以及企业和品牌。在源代码中包含这些信息可能会让黑客从Instagram网站上窃取数据，允许他们组装一个虚拟电话簿，列出数千名Instagram用户的联系方式。

可能已创建了这样的目录。周一，一份报告显示，印度的一家营销公司Chtrbox获得了数百万Instagram帐户的联系信息，并将其存储在一个不安全的数据库中。目前还不清楚该数据库是如何创建的，但是从Instagram上抓取数据违反了公司的使用条款。

Instagram发言人StephanieOtway在一份声明中表示，Stier在网站源代码中发现的数据不是私密的。

“在这种情况下发现的联系信息不是私人联系信息，而是Instagram社区成员在将他们的个人资料转换为商业档案时选择分享的联系信息，”Otway说。“在商业档案的设置过程中，我们会显示此信息，提醒人们其他人可以访问，并允许他们更新或删除信息。”

该声明没有解决从网站源代码中删除数据的风险。

Instagram还表示，Chtrbox数据库中的联系信息不是私密的。然而，该公司表示，Chtrbox确实从用户的个人资料中获取了一些违反Instagram政策的联系信息，导致Instagram撤销Chtrbox对其平台的访问权限。

Chtrbox在一份声明中表示，它并未通过不道德的方式获取信息。

斯蒂尔说，他至少从10月份开始通过查看Instagram个人档案的存档版本，找到证据证明电话号码和电子邮件已经在源代码中。他说，他在2月向Instagram报告了这个问题，问题在3月得到解决。

曝光是在网络上查找敏感信息是多么容易的一个例子。编程错误可能会暴露具有基本技能的人可以查找和滥用的信息。例如，谷歌周二透露，它一直在以纯文本形式存储一些商业客户的密码，这是一种不安全的做法，可以回避行业标准的保护措施。专家表示，这些漏洞可以帮助黑客收集有关网络用户的宝贵信息，使他们面临欺诈和身份盗窃的风险。

Instagram应用程序仍然提供联系信息，如果用户选择让其他人通过应用程序与他们联系，则会显示用户的电子邮件地址和电话号码。研究应用程序安全和隐私的卡内基梅隆大学计算机科学教授杰森·洪说，虽然这种设计并不理想，但它比在网站的源代码中包含联系信息更安全。

“从网站上搜索数据相对容易，”洪说。“从正在运行的应用程序中搜索数据是可能的，但相当困难。”

你可能会认为，如果犯罪分子只是你的电子邮件地址或电话号码，他们就不会造成太大的伤害。但身份窃贼仍然积聚这些数据，目的是将其与暴露和黑客攻击中收集的其他信息相结合。例如，安全专家TroyHunt在1月份写道，他发现了一个包含7.73亿个密码的缓存，这些密码由几个不同的数据泄露数据组成。

身份盗窃资源中心通信副总裁CharityLacey说，犯罪分子将尽可能多的识别信息拼凑起来，以打败欺诈检测措施并成功地扮演其他人的角色。

“盗贼正在聚合这些数据并创建更强大的配置文件以击败系统，”Lacey说。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！